随着云计算的采用和浏览器技术的进步,Web应用程序和Web服务已经成为许多业务流程的核心组件,因此是攻击者的有利可图的目标。然而,超过70%的网站和网络应用程序包含可能导致敏感的公司数据,信用卡,客户信息和个人身份信息(PII)被盗的漏洞。
防火墙,SSL和硬化网络的功能,在面对Web应用程序黑客的攻击时都是徒劳的
Web应用程序攻击通过HTTP和HTTPS进行;用于向合法用户传递内容的相同协议。然而,针对开源软件,例如WordPress、Drupal和Joomla!以及为商业或客户建立的网页应用程序攻击可以有与传统的以网络为基础的攻击相同或者更糟糕的效果。
自动化Web应用程序安全的技术领导者
DeepScan技术允许精确爬取利用复杂技术(如SOAP/WSDL,SOAP/WCF,REST/WADL,XML,JSON,GoogleWebToolkit(GWT)和CRUD操作)的AJAX重型客户端单页应用程序(SPA)
业界最先进,最强大的SQL注入和跨站点脚本测试,包括基于DOM的跨站点脚本的高级检测。
AcuSensor技术允许准确扫描,通过将黑盒扫描技术与来自放置在源代码内的传感器的反馈组合,进一步降低假阳性率。
快速,准确,易于使用
多线程,快速爬虫和扫描仪,可以爬取数十万页而不中断。
最高的WordPress漏洞检测-扫描WordPress的安装超过1200个已知的漏洞在WordPress的核心,主题和插件。
轻松生成各种技术和合规报告,面向开发商和业主。
永久或订阅许可
Acunetix本地以1年订购许可证或永久许可证的形式出售。标准版,专业版和企业版都有这两种形式。通常,永久许可证在多年内更具成本效益(降低总拥有成本)。
在1年许可证的整个期间免费提供支持和版本升级,但是它仅包括在永久许可证的第一年。为了将此期间的支持和免费版本升级为一年或多年,应与永久许可证一起购买维护协议。
标准版x2并发扫描(无限站点/服务器)
标准版是Acunetix的入门级演示,可用于扫描无限数量的网站,限制为从同一单一固定安装计算机同时扫描2次。典型的标准版客户是一个负责安全状态和合规性的单个工作站用户,他希望在一些优秀的开发人员报告和Acunetix现在所知的修复提示的支持下进行独立的笔测试。
从v11的推出,标准版替换和继续从以前命名的企业产品。术语Enterprise现在保留用于在规模的另一端的较大的多用户和可选地多发动机许可证。Enterprise(x2并发扫描)版v10.5或更早版本的许可证将根据有效的维护或订阅协议自动升级到v11中的标准版,并且产品部件号保持不变。
ProEditionx5并发扫描
ProEditionx5并发扫描许可证是高级用户需要更详细的合规报告和与软件生产列车集成的理想选择。ProEdition支持从同一单个固定安装计算机进行5个并发扫描。
ProEdition客户可以是外包或保密的安全专业人员,领导更高级的项目,例如在组织内设置专业的应用程序安全漏洞管理程序。该用户将负责安全状态和合规性。ProEdition可以访问许多企业功能,例如:能够对资产目标进行分组和分类,以获得更好的漏洞补救优先级;与软件开发生命周期(SDLC)项目管理或问题跟踪系统的集成;全面的合规性报告;与顶级Web应用程序防火墙(WAF)集成;信息趋势图,供高层管理人员使用。
从v11的推出,Pro版本替代并继续从以前命名的顾问5并发扫描产品。顾问(x5并发扫描)版v10.5或更早版本的许可证将根据有效的维护或订阅协议自动升级到v11中的专业版,并且产品部件号保持不变。
企业版x10并发扫描
企业版x10并发扫描增加了多用户,协作团队功能,还可以控制多个Acunetix扫描引擎。
由于在大量从事应用程序开发的组织中开发的威胁和漏洞管理程序,客户可以扩展到多个用户,包括高级管理,治理,风险和合规(GRC)人员。企业版客户拥有完全基于角色的多用户团队支持,并能够部署由中央系统管理的多个扫描引擎,而入门级企业3,5,10用户许可证的单一固定安装包括中央系统和扫描引擎安装。企业版可以扩展从3到无限的用户和最多50Acunetix扫描引擎。
HTML5和JavaScript安全性的最高抓取和分析率
任何扫描期间的基本过程是扫描器正确爬网应用程序的能力。Acunetix具有DeepScan技术;一个HTML5抓取和扫描引擎,通过执行和分析JavaScript,完全复制浏览器内的用户交互。DeepScan允许精确爬行AJAX重的客户端单页应用程序(SPA),这些应用程序利用了AngularJS,EmberJS和GoogleWebToolkit等技术。
使用DeepScan技术进行精确爬行和扫描
Acunetix包括AcunetixDeepScan技术,它允许扫描仪稳健地测试任何应用程序,无论它写的是什么Web技术。
DeepScan的核心是一个完全自动化的Web浏览器,可以理解和与复杂的Web技术(如AJAX,SOAP/WSDL,SOAP/WCF,REST/WADL,XML,JSON,GoogleWebToolkit(GWT)和CRUD操作就像一个普通的浏览器。这允许Acunetix测试Web应用程序,就像它在用户的浏览器中运行,允许扫描仪与复杂的控件无缝地交互,就像用户一样,显着增加了扫描仪的Web应用程序的覆盖。
DeepScan已进一步优化,用于分析在RubyonRails和JavaFrameworks(包括JavaServerFaces(JSF),Spring和Struts)上开发的网站和Web应用程序。
无障碍的经过身份验证的Web应用程序测试
?多步/自定义验证方案
?CAPTCHA
?多因素认证
恶意软件URL检测
Acunetix包含恶意软件检测服务,可检测与已知托管恶意软件或已知用于网络钓鱼攻击的外部网站的链接。
这样的链接可以指示被扫描的站点已经被攻破,或者以某种方式攻击者已经设法将URL注入到恶意站点。也可能表示您的网站连结到的合法网站已遭到入侵,并托管恶意软体。
最高SQL注入和XSS检测率整体和准确的漏洞检测在于能够检测从最明显的SQL注入,XSS和超过500其他类型的Web应用程序漏洞的任何东西。Acunetix是检测最大种类的SQL注入和XSS漏洞的行业领导者,包括带外SQL注入和基于DOM的XSS。深入的SQL注入和跨站点脚本(XSS)漏洞测试Acunetix严格测试数百个Web应用程序漏洞,包括SQL注入和跨站点脚本。SQL注入是最古老和最流行的软件缺陷之一;它允许攻击者修改SQL查询以获取对数据库中的数据的访问。跨站点脚本攻击允许攻击者在访问者的浏览器中执行恶意脚本;可能导致该用户的模拟。当涉及到动态应用程序安全测试(DAST)时,虽然扫描程序可以运行的测试次数很重要,但它是它能够很好地抓取应用程序的次要-如果您无法抓取它,您不能扫描它!AcunetixDeepScan技术能够爬取复杂的客户端单页应用程序(SPA),即使在客户端漏洞(如基于DOM的XSS漏洞)中也能确保最高的漏洞检测率。
高级自动化基于DOM的XSS脆弱性测试基于DOM的XSS是一种高级类型的XSS攻击,当Web应用程序的客户端脚本将用户提供的数据写入文档对象模型(DOM)时,这种攻击成为可能。随后由web应用从DOM读取数据并将其输出到浏览器。如果数据被不正确地处理,攻击者可以注入有效载荷,该有效载荷将作为DOM的一部分存储并在从DOM读回数据时执行。基于DOM的XSS通常是客户端攻击,攻击者的有效载荷从不会发送到服务器。这使得它更难以检测。Acunetix可以扫描各种高级的基于DOM的XSS,并且还可以在浏览器的DOM内部移动时提供注入的有效内容的堆栈跟踪。
检测盲XSS,XXE,SSRF,主机头攻击和电子邮件头注入当尝试检测二级漏洞时,传统的检测漏洞的方法不足;即测试在测试期间不提供对扫描器的响应的漏洞。检测二级漏洞需要中间服务;Acunetix与其内置的AcuMonitor技术相结合,可以自动检测此类漏洞,并对运行扫描的用户透明。AcuMonitor允许检测漏洞,例如盲XSS,XML外部实体注入(XXE),服务器端请求伪造(SSRF),主机头攻击,电子邮件头注入和密码重置中毒。
最低假阳性保证有效的Web应用程序安全
Acunetix独特的AcuSensor技术通过在源代码中部署传感器的交互式应用程序安全测试(IAST)来增强定期动态扫描。AcuSensor将在源代码执行期间将反馈中继到扫描仪。在Web应用安全测试中,黑盒和白盒测试(通常称为灰盒测试)的组合进一步增强了扫描器的检测率。
使用AcuSensor进行交互式安全测试
传统的Web应用程序安全测试(黑盒测试)不会在执行过程中看到代码的行为,而源代码分析也不会总是理解当代码执行时会发生什么。AcuSensor将这两种方法结合在一起,并能够实现显着更高的漏洞检测。通常,只有在报告数据库错误或通过“盲目”技术时才能找到SQL注入漏洞。使用AcuSensor,可以在所有SQL查询中检测到SQL注入漏洞;包括INSERT语句。
Pinpoint漏洞的确切位置
AcuSensor技术可以指示漏洞所在的代码行,并报告其他调试信息。这极大地提高了修复效率,并使开发人员修复漏洞的任务更容易。
后端文件抓取
AcuSensor可以运行后端抓取,将通过Web服务器可访问的所有文件提供给扫描器;即使这些文件没有通过前端应用程序链接。这确保100%的应用程序覆盖,并警告用户任何后门文件可能已被恶意上传的攻击者。
最低假阳性率
AcuSensor技术可以通过在执行应用程序的源代码期间执行额外的测试,自动验证通过黑盒扫描技术发现的漏洞。这允许Acunetix扫描在使用AcuSensor时提供接近0%的假阳性率。
使用AcuSensor,您能够以100%的准确率检测到关键漏洞
漏洞管理和监管合规报告
漏洞管理(VM)是发现,测量和补救漏洞的持续努力。组织使用漏洞管理来避免应用程序和网络基础设施的利用所带来的威胁。Acunetix将高级漏洞管理功能作为其核心,使其易于启动您的漏洞管理程序,并将扫描器的结果集成到其他工具和平台中。
您的漏洞管理计划在一个合并的视图
Acunetix不再需要在多个PDF,电子表格和其他信息孤岛中管理应用程序安全程序,而是允许您持续自动保护应用程序组合,同时从一个统一视图管理风险暴露。
跟踪问题,而不是PDF
开发团队管理问题跟踪器中的工作负载,以修复错误,跟踪新功能的进度并管理截止日期。对于具有“300页PDF”的开发人员来说,充满需要注意的安全问题是适得其反的,并产生了沟通障碍。
Acunetix与AtlassianJIRA,GitHub和MicrosoftTeamFoundationServer(TFS)集成,将Acunetix发现的漏洞纳入开发人员手中,同时仍然为管理提供他们所需的历史数据,趋势和优先级工具,以便提出问题并制定策略决定。
高级管理和合规报告
Acunetix允许您轻松生成各种详细的技术,管理和合规报告,如PCIDSS,OWASPTop10,ISO27001和HIPAA。
这些报告允许您在内部与管理层和监管机构共享安全发现。报告可以集中在单个扫描,特定目标或甚至任意组的扫描或目标。
WordPress安全扫描功能互联网上超过24%的网站运行WordPress,内容管理系统(CMS)市场占有60%的份额;WordPress安全性正在成为组织安全态势中越来越重要的因素。尽管WordPress的核心设计考虑了安全性,但是对于扩展WordPress生态系统的成千上万的插件来说,这并不是说。不幸的是,数千个WordPress插件包含高度严重的漏洞。除非易受攻击的插件被更新或禁用,否则它们可能允许攻击者轻易地破坏网站的完整性和可用性,访问WordPress管理界面和数据库,以及欺骗网站并欺骗用户进行网络钓鱼攻击,或使用网站分发恶意软件。扫描易受攻击的WordPress插件Acunetix识别WordPress安装,并将为1200多个流行的WordPress插件,以及对WordPress核心漏洞的其他一些漏洞测试启动安全测试。此外,Acunetix还将进行其他WordPress特定的配置测试,如弱WordPress管理员密码,WordPress用户名枚举,wp-config.php备份文件,恶意软件伪装成插件和旧版本的插件。检测到WordPress插件,列在WordPress插件知识库中,包括描述,检测到的版本号和要更新的插件的最新版本。类似的检查也在其他内容管理系统上执行,如Joomla!和Drupal。
WordPress配置文件披露虽然大多数常见配置设置可通过WordPress管理界面使用,但WordPress管理员可能需要直接更改wp-config.php中的某些设置。这通常通过首先创建已知工作配置的备份,然后在文本编辑器中手动更改文件来完成。但是,备份文件对任何能够猜测备份文件名的人都可用。用户名枚举和弱密码猜测Acunetix运行测试WordPress帐户的用户名枚举。枚举用户名使攻击者在攻击您的WordPress安装时有一个开头,因为攻击者将有必要的信息来启动针对枚举用户名的密码字典攻击。基于扫描期间识别的用户,Acunetix还将尝试检测枚举用户是否使用基于密码列表的弱密码以及其他组合,包括使用leetspeak。
不只是WordPress
除了检测易受攻击版本的WordPress核心,插件和配置错误,Acunetix也可以检测Joomla中的漏洞!和Drupal安装。按照WordPress,Joomla!和Drupal是最广泛部署的内容管理系统(CMS),并有自己的漏洞和错误配置的份额。
高级功能:笔测试工具和WAF配置
Acunetix包括用于渗透测试人员进一步自动测试,与外部工具集成以及帮助测试业务逻辑Web应用程序的工具的高级工具。
进一步自动扫描
使用集成的HTTP编辑器从自动爬网或扫描中导出HTTP请求,修改或创建HTTP请求并分析Web服务器的响应。
拦截,记录和修改使用Traps支持正则表达式并使用集成的HTTPSniffer实时发送到Web应用程序和从Web应用程序发送的HTTP流量。通过使用捕获的流量来扩展手动HTTP流量检查,以构建可用作自动扫描的一部分的自定义爬网结构。
FuzzHTTP请求,使用各种内置的模糊器测试验证和处理无效或随机数据。使用支持正则表达式的HTTPFuzzer过滤器过滤模糊HTTP请求。
导出自动扫描的盲注SQL注入漏洞,并使用BlindSQLInjector执行自动化数据库数据提取。
从内置HTTPEditor导入手动抓取数据,第三方工具(如TelerikFiddler,PortswiggerBurpSuite和HAR(HTTP归档)文件)。
自动Web应用程序防火墙(WAF)配置有时,它不可能推出一个高严重性漏洞的修复,然后。Acunetix与ImpervaSecureSphere,F5BIG-IP应用程序安全管理器和FortiWebWAF集成,可以自动创建相应的Web应用程序防火墙规则,以保护Web应用程序免受针对扫描程序发现的漏洞的攻击。这允许您临时防止利用高严重性漏洞,直到您能够解决它们。
集成和可扩展性Acunetix具有强大的命令行界面(CLI)和RESTful应用程序编程接口(RESTAPI)。RESTAPI允许使用常规HTTP请求以简单,编程方式访问和管理Acunetix中的扫描目标,扫描,漏洞,报告和其他资源。API的端点直观而强大,允许您轻松检索信息和执行操作。
AcunetixOnline的网络安全扫描器的主要特点全面的安全审计需要详细检查面向公众的网络资产的边界。Acunetix在AcunetixOnline中集成了受欢迎的OpenVAS扫描器,提供了一个全面的外围网络安全扫描,可以与您的Web应用程序安全测试无缝集成,这一切都来自一个简单易用的简单的基于云的服务。扫描周边网络服务不安全的外围网络是大多数数据泄露的原因。因此,外围是网络中最重要的区域之一,以防止可能危及网络服务的安全性或可用性的漏洞,配置错误和其他安全威胁。AcunetixOnline扩展了您的网络对外部威胁的可见性,并为您提供了您的网络外围的视角,就像攻击者会看到的。每个网络扫描最初都将以扫描目标的IP地址的端口扫描开始,以便发现打开的端口和正在运行的服务。然后,对打开的端口进行超过35,000个已知漏洞和错误配置的测试。
检测网络安全错误配置Acunetix在线可以检测广泛的网络安全错误配置,可能导致敏感数据泄露,拒绝服务或甚至危及主机。测试包括通过FTP测试匿名FTP访问和可写目录,配置不当的代理服务器,弱SNMP社区字符串,弱TLS/SSL密码和许多其他安全漏洞。
Standard
Pro
Enterprise
ArchitectureandScale
无限制URL扫描
√
多用户
用户角色和特权
用户数量
1
3–Unlimited
多扫描引擎
最大数量的扫描引擎
1–50
每个License的总并发扫描
2
5
10–100
Acunetix漏洞评定引擎
扫描3000+网络应用程序漏洞
AcunetixDeepScanCrawler
AcunetixAcuSensor(Gray-box漏洞测试)
AcunetixAcuMonitor(Out-of-band漏洞测试)
手动的笔测试工具套件
扫描上线网络应用程序资产
扫描内部网络应用程序资产
关键报告和漏洞严重性分类
关键报告(受影响的项目、Quick、开发商、执行)
OWASP前十个报告
CVSS(普遍的漏洞搜索系统)forSeverity
补救建议
合规报告
集中管理和可扩展性
仪表板
计划扫描
持续扫描
目标组
分配目标业务关键性
按业务关键性排序
趋势图
WAF虚拟补丁**
问题跟踪系统集成***
为用户分配管理目标
集成API+
*PCIDSS,ISO/IEC27001;健康保险携带和责任法案(HIPAA);WASC威胁分类;Sarbanes-Oxley;NIST特别出版物800-53(用于FISMA);DISA-STIG应用程序安全;2011CWE/SANS25个最危险的软件错误。**ImpervaSecureSphere,F5BIG-IP应用安全管理器和FortinetFortiWebWAF***AtlassianJIRA,GitHub和MicrosoftTeamFoundationServer
?视项目资格而定
多个并行扫描许可证和多个并发独立用户安装或额外扫描引擎
如上所述,Acunetix可用于从同一工作站运行多个网站的多个并发扫描。标准版可以运行2个并行扫描,ProEdition可以运行多达5个并发扫描,而软件的企业版可以同时运行10个扫描,或者在中央节点(10个并发扫描)或多个扫描引擎,具体取决于所选的许可选项,部署配置和架构注意事项。
产品交货
Acunetix软件产品以电子方式交付。许可密钥和下载位置在发出订单后的一个工作日内通过电子邮件发送给您。